BaFin plant Mitte 2017 die Veröffentlichung der BAIT: Geschäftsleitung wird mehr in die Pflicht genommen

Die IT-Prüfungen der BaFin in den Banken sind noch nicht zufriedenstellend. Letzte Woche wurde in Bonn eine “Konkretisierung der MaRisk durch ein Rundschreiben zu Bankaufsichtlichen Anforderungen an die IT (BAIT)” vorgestellt.

Die BAIT soll Mitte des Jahres 2017 veröffentlicht werden und das IT-Risikobewusstsein in den Instituten erhöhen. Darüber hinaus soll mehr Transparenz über die Erwartungshaltung der Aufsichtsbehörden geschaffen werden.

Die BaFin reagiert damit darauf, dass mit der Digitalisierung die Anzahl der schützenswerten Güter gewachsen ist. Nicht nur Geldvermögen und persönliche Daten, sondern inzwischen auch der Zugriff auf Dienstleistungen gehören inzwischen dazu.

Formell handelt es sich um ein Rundschreiben zur

  • Präzisierung von §25a Abs. 1 KWG und §25b KWG und einer
  • Konkretisierung der MaRisk mit einem analogen Aufbau und Verweisen.

Die Anforderungen der MaRisk und von gängigen Standards bleiben durch die BAIT unberührt. Sie beinhaltet die folgenden Themengebiete:

  1. IT-Strategie,
  2. IT-Governance,
  3. Informationsrisko-Management,
  4. Informationssicherheits-Management,
  5. Benutzerberechtigungs-Management,
  6. IT-Projekte und Anwendungsentwicklung,
  7. IT-Betrieb (inkl. Datensicherung) sowie
  8. Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen.

Insbesondere die Geschäftsführungen der Institute sollen mit diesem Rundschreiben weiter für die IT und deren Risiken bei einem unsachgemäßen Einsatz sensibilisiert werden. Ein “Zurücklehnen” oder das Prinzip der Hoffnung reicht bei zunehmender Digitalisierung und der verbundenen damit Öffnung der Prozesse nach Außen nicht mehr aus. Felix Hufeld, Präsident der BaFin hat es am Jahresanfang so formuliert: “Denn was heute als sicher gilt, kann morgen schon Einfallstor für Cyberangriffe sein. Wir fordern diese Sicherheit ein und verlangen von den Unternehmen, diese Sicherheit auch von ihren IT-Dienstleistern und Zulieferern einzufordern.

Für die Institute bedeutet es bereits heute, sich mit dem Entwurf auseinanderzusetzen. Er sollte nicht als weitere Regulierung gesehen werden. Vielmehr ist es eine Hilfestellung, Schäden durch mangelhaft eingesetzte IT zu vermeiden.

Einen guten Überblick bietet diese Präsentation der BaFin.

 

Softwareentwicklung in der Zukunft

Wenn wir heute für Kunden Software entwickeln, dann handelt es sich noch oft um monolithische Systeme – in sich geschlossene Softwareprodukte für einen definierten fachlichen Use Case.

Eine grundlegende Änderung der Fachlichkeit führt oft zu umfangreichen Entwicklungsaufwänden oder gar Änderungen an der zu Grunde liegenden Softwarearchitektur. Die Änderungen können damit oft nur in langen zeitlichen Perioden und damit auch kostenintensiven Projekten umgesetzt werden.

Verstärkt wird das Problem durch die Anforderung, eine Software nicht mehr nur noch in klassischen Client-Server-Architekturen zur Verfügung zu stellen, sondern auf diversen mobilen Plattformen.

In einer Zeit der sich immer schneller wandelnden Anforderungen des Marktes sind die Unternehmen aber gezwungen, sich schnell an anzupassen. Die monolitischen System sind dabei hinderlich.

Was wird sich also in der Softwareentwicklung ändern? Schauen wir uns einmal in der sogenannten “Cloud” um. Dort finden sich diverse Beispiele.

Beispiel 1: Landlord
Landlord ist ein Spiel, welches Monopoly-ähnlich funktioniert. Der Spieler findet auf seinem Mobiltelefon die in seiner Umgebung befindlichen Lokationen, z.B. öffentliche Gebäude. Mit seinem Spielgeld kann er ein Gebäude “kaufen” und erhält Miete, wenn andere Mitspieler in seinem Gebäude sind. Spannend daran: das Spiel bedient sich der Lokations-Datenbank und des Check-In-Mechanismus von Foursquare. Will man sich neues Spielgeld kaufen, so werden Abrechnungssysteme anderer Hersteller genutzt. Die Kette verlängert sich, da Foursquare wiederum zum Aufbau seiner Lokationen in der Startphase auf Google Maps zugegriffen hat.

Beispiel 2: Salesforce
Salesforce ist als CRM-Tool hinlänglich bekannt. Es bietet eine Unzahl von API-Schnittstellen, mit der ein Entwickler seine Anwendung an das CRM-System anbinden kann. Ein Salesforce einsetzendes Unternehmen kann das CRM-System neben der üblichen Freiheit der individuellen Konfiguration also vollständig in seine Prozesse einbinden und ist nicht mehr gezwungen, sein CRM selbst zu programmieren.

Beide Beispiele zeigen, dass eine Software in Zukunft vor allem eines benötigt: Schnittstellen zu anderen Systemen – und zwar unternehmensübergreifend. Sicherlich spielen dabei Datenschutzerwägungen eine nicht unerhebliche Rolle, sind aber durchaus zu lösen.

Softwareentwicklung wird sich beschränken müssen auf die wirklichen unternehmensspezifischen Anforderungen und sich koppeln mit Systemen, die allgemeine Anforderungen bereits problemlos bereitstellen. So lassen sich massiv Kosten sparen, indem Standardfunktionen hinzugekauft werden und über eine Schnittstelle angesprochen werden können.

Nebenbei können die bisherigen Anbieter großer Softwareprodukte einen vollkommen neuen Markt erschließen.

Nehmen wir als Beispiel die großen Rechenzentren von Banken. Warum bieten sie keine flexiblen Schnittstellen in ihr Kernbankenverfahren an? Die Banken haben massive Abwanderungen vom Zahlungsverkehr zu Diensten wie PayPal oder den eigenen Bezahlverfahren der großen Anbieter wie Google oder Amazon zu verzeichnen. Was aber kann mir meine Volksbank oder Sparkasse anbieten, wenn ich dort nach einem entsprechenden Dienst anfrage? Nichts…

Und wenn ich dem Gedanken des guten alten Bankschließfaches folge und bei meiner Bank nachfrage, ob ich meine elektronischen Dokumente nicht auch dort hinterlegen kann? Dann gibt es höchstens einen unkomfortablen Dateiabload in einer kleinen Ecke des Homebankings mit einer unattraktiven Schnittstelle.

Oder warum bietet man den Kunden nicht eine sichere E-Mail an für alle Kunden bei einer Sparkasse oder Volksbank (immerhin haben die beiden Gruppen alleine schon einen extrem hohen Marktanteil – wenn man es anhand der ausgegebenen Karten rechnet, sind es rund 70% | Quelle: Bankenverband). Beste technische Voraussetzungen bei aktuell drei und zukünftig zwei Rechenzentren. Mit der Chance für die Banken, diesen Kanal gleich für ein Marketing mit zu benutzen.

Es gibt unzählige Beispiele, wie eine Bank ihr Portfolio zeitgemäß verändern könnte und damit nicht zusehen müsste, wie andere innovative Unternehmen ihnen nach und nach die Marktanteile und damit die Verdienstmöglichkeiten entziehen. Wahrscheinlich mangelt es gar nicht an Ideen. Nur die Umsetzung ist mit der heutigen IT so schwer durchzuführen, dass die Phantasie für solche neuen und innovativen Produkte einfach fehlt.